Windows：当我知道发送了 OK 响应时，如何诊断证书吊销检查失败？

TL;博士; 如何发现 Windows 上的 OCSP 响应有什么问题？

我正在尝试在本地 Exchange Server 2019 中安装新证书。但 Exchange 总是报告新证书未通过吊销检查并且不会使用它。新证书具有从新证书通过中间 CA 到我的根 ca 的信任链。当我在 certmgr.msc 中打开新证书时，我看到该链，并且所有证书在 certmgr 中都报告为 OK。我已将我的根 CA 安装到“受信任的根证书颁发机构”存储中。我已将中间 CA 安装到“中间证书颁发机构”存储中。

新证书的授权信息访问URL 指定了我自己的 OCSP 响应者。我知道这不是连接问题，也不是代理问题，因为我实时查看 OCSP 日志，并且我知道连接已建立，并且我的 OCSP 响应者发送证书“OK”。我在 linux 主机上使用 openssl-ocsp 进行了测试，当我使用以下 openssl 命令时，验证成功：

   openssl ocsp 
      -issuer "$ca_sub_cert_file" 
      -cert "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

请注意，上面的 openssl 命令明确引用了issuer和CApath，这使得对中间 CA 的信任成为可能。在 Windows 上，我希望安装 root-ca 和中间 CA 会同样启用对 OCSP 响应的信任。但我不知道如何测试这个。

这应该不是必需的，但我还为 ocsp-responder “安装”了一个证书。我允许向导自动选择商店，但我找不到它放在哪里。当我在 certmgr.msc 中搜索它时，它不会出现。我没有手动安装它，因为我不知道我应该使用哪个商店。

我怀疑我的 openssl OCSP 响应者的响应对于 Exchange Server 2019 是错误的。我的理论是：

• 无法从新证书到我的根 CA 建立信任链
• 链已构建，但 ocsp-responder、中间 ca 或 root-ca 的证书之一不受信任。即使安装了intermediate-ca 和root-ca。
• openSSL 响应与 Windows 和/或 Exchange Server 2019 不兼容

如何检验上述理论？我搜索了 Windows 事件日志，但它们没有提及 OCSP 或撤销。